实际环境下IPS测试方案(绿盟)

《实际环境下IPS测试方案(绿盟)》由会员分享，可在线阅读，更多相关《实际环境下IPS测试方案(绿盟)（18页珍藏版）》请在装配图网上搜索。

1、目录（Contents）一.测试需求4二.测试单元52.1静态测试52.2功能测试5三.测试环境63.1网络连接平台63.2硬件设备63.3软件环境73.4攻击方法和相应工具的准备7四.静态测试8五.功能测试105.1产品初步评估105.2基本管理功能测试105.3防火墙125.4攻击特征库管理135.5流量管理135.6硬件BYPASS145.7系统软件、攻击特征库升级能力155.8日志分析系统165.9事件过滤175.10流量分析175.11自身安全性能185.12响应方式19一. 测试需求本着实事求是的态度，在项目建设前，对网络入侵保护产品（IPS）的实际测试。本次参与测试的公司有北京绿

2、盟科技的IPS：产品型号：中联绿盟信息技术有限公司 ICEYE-600P二. 测试单元一般而言，测试分为实验室测试和现场测试。本次测试均为现场测试，本次产品的现场测试包括四个部分：n 静态测试n 功能测试2.1 静态测试主要考察设备的外观、硬件配置、文档等。2.2 功能测试主要考查待测产品（设备）本身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功能测试中又分为基本功能和附属功能测试两个部分。三. 测试环境3.1 网络连接平台在实际环境中，设备部署在互联网出口位置，测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测阻断、流量管理等功能。 3.2 硬件设备1、

3、计算机根据本规范下的测试平台，至少需要准备1台计算机，作为管理机，其最低的配置要求如下：CPU: PIII 800以上RAM: 256M以上NIC: 100/1000M 2、网络设备根据本规范下的测试平台，需要准备相应的网络环境。3.3 软件环境1、操作系统Windows 2000/xp/2003 (Chinese Version)3、辅助测试工具用于监控网络流量，包括sniffer pro、数据包录制软件。 3.4 攻击方法和相应工具的准备在测试当中，我们选取一些典型的攻击方法，用于功能测试。l 选择检测难度较大的攻击，这样可以比较IPS产品的引擎和攻击特征编写能力。l 选择最近出现的危害较

4、大的攻击方法，这样可以比较IPS产品的攻击特征库更新频率，进而评估各供应商的的技术能力。l 选择能覆盖到各种常用协议和应用服务器的攻击，如FTP、HTTP、SMTP等。四. 静态测试表格 1 基本情况产品情况产品基本情况结果1产品名称2测试版本号3版本发布时间4支持语言表格 2 硬件配置硬件情况产品硬件配置结果1CPU2内存3硬盘4网络接口表格 3管理方式安装管理管理情况结果1控制台软硬件需求2管理方式3远程管理支持4远程管理认证方式5是否有日志系统6是否可自定义规则7工作模式8响应方式升级方式1自动升级2手动升级3升级频度4升级包获取方式5升级是否断网表格 4 入侵保护能力：系统功能入侵保护

5、能力结果1阻断黑客攻击2阻断蠕虫、网络病毒攻击3阻断间谍软件4阻断P2P下载软件5阻断IM即时通讯软件6阻断网络在线游戏7阻断在线视频表格 5其他功能：其他功能其他功能情况结果1是否支持硬件BYPASS功能2是否支持内置防火墙五. 功能测试5.1 产品初步评估产品初步评估是指对产品供应商的资质，产品本身的特性，内部配置，适用范围，技术支持能力，核心技术，产品本地化，产品认证等方面进行的书面的初步评估。项目测试结果备注OS类型、版本界面语言接口数量产品类型产品技术实现本地化技术支持5.2 基本管理功能测试入侵保护系统的重要功能之一就是要体现其可管理性，主要包括对报警信息、对数据库的管理、对网络引

6、擎及下级控制台等组件的管理，所以首先要考察该系统的管理能力。【测试方法】1 登录控制台界面（分别考察WEB控制台、windows控制台）；2 查看其各组件的分布情况，包括管理界面、报警显示界面、数据库、日志查询系统；3 配置多级管理模式，满足控制台控制台控制台引擎的部署结构；4 添加多个虚拟引擎（即只添加IP）看其是否有数量限制；5 查看可支持的其他组件；【测试结果】项目测试结果备注软件部署具备Web控制台 o 通过 o 部分通过o 未通过 o 未测试具备集中管理的Windows控制台o 通过 o 部分通过 o 未通过 o 未测试具备独立的日志分析中心o 通过 o 部分通过 o 未通过 o 未

7、测试可以独立安装数据库o 通过 o 部分通过 o 未通过 o 未测试设备监控管理可以在控制台上显示并控制所有探测器o 通过 o 部分通过 o 未通过 o 未测试一个控制台是否可管理多个探测器o 通过 o 部分通过 o 未通过 o 未测试一个探测器是否可以同时被多个控制台监控o 通过 o 部分通过 o 未通过 o 未测试主、辅控制台对各探测器的控制能力有明确的权限区别o 通过 o 部分通过 o 未通过 o 未测试管理方式支持分布式探测，集中式管理o 通过 o 部分通过 o 未通过 o 未测试支持多层管理o 通过 o 部分通过 o 未通过 o 未测试多级的结构是否受限制可管理多少级别o 通过 o

8、部分通过 o 未通过 o 未测试支持管理权限划分,不同级别的控制台权限不同o 通过 o 部分通过 o 未通过 o 未测试是否可以显示该系统整体的部署拓扑图或树型结构图o 通过 o 部分通过 o 未通过 o 未测试是否可以从主控给下级子控及子控的下级下发策略等规则文件o 通过 o 部分通过 o 未通过 o 未测试主控是否可以有选择的接收报警信息o 通过 o 部分通过 o 未通过 o 未测试是否可以将下级的日志同步到主控来（同步的内容是可以自行设定的）o 通过 o 部分通过 o 未通过 o 未测试是否具备全局预警的功能（即其中的一个子控可以收到其它子控发来的报警信息）o 通过 o 部分通过 o 未

9、通过 o 未测试5.3 防火墙内置防火墙是IPS的一种功能，IPS通过防火墙加强访问控制。好的防火墙功能可以有效的阻断攻击。【测试目的】检测IPS的防火墙功能。【测试结果】项目测试结果备注防火墙功能无防火墙规则情况下，攻击机访问目标机上的web服务o 通过 o 部分通过 o 未通过 o 未测试配置防火墙规则情况下，攻击机访问目标机上的web服务o 通过 o 部分通过 o 未通过 o 未测试验证实现动态/静态地址转换，反向地址转换功能，实现一对一地址映射功能o 通过 o 部分通过 o 未通过 o 未测试验证实现动态/静态地址转换，反向地址转换功能，实现一对多地址映射功能o 通过 o 部分通过 o

10、 未通过 o 未测试验证实现动态/静态地址转换，反向地址转换功能，实现多对多地址映射功能o 通过 o 部分通过 o 未通过 o 未测试验证策略路由o 通过 o 部分通过 o 未通过 o 未测试验证路由模式工作方式o 通过 o 部分通过 o 未通过 o 未测试验证透明模式和非透明模式等工作方式o 通过 o 部分通过 o 未通过 o 未测试5.4 攻击特征库管理攻击特征是IPS系统用来判断什么是入侵行为的标准，所以攻击特征的质量和数量都非常重要。某些IPS系统还支持用户自定义特征。本部分的测试要求入侵保护系统具有协议分析能力，可自定义基于应用层协议的特征。【测试方法】1. 测试IPS的攻击特征库的

11、质量和管理方便性。2. 演示IPS产品的攻击特征库的策略编辑方法。3. 演示IPS产品的攻击特征的数量。【测试结果】项目测试结果备注规则库管理攻击规则库按危险程度分类o 通过 o 部分通过 o 未通过 o 未测试攻击规则库按服务类型分类o 通过 o 部分通过 o 未通过 o 未测试对每个规则有详细注释说明，包括该攻击影响的操作系统和解决方案o 通过 o 部分通过 o 未通过 o 未测试可以对某条具体规则设置单独的响应方式o 通过 o 部分通过 o 未通过 o 未测试可以对某类规则设置共同的响应方式o 通过 o 部分通过 o 未通过 o 未测试是否支持自定义新的规则o 通过 o 部分通过 o 未

12、通过 o 未测试5.5 流量管理流量管理是IPS的新增功能，主要通过协议，端口，IP及时间等要素对流量进行管理。【测试目的】测试NIPS对流量的管理。【测试结果】项目测试结果备注流量管理验证BT，eMule协议进行流量管理o 通过 o 部分通过 o 未通过 o 未测试验证根据时间对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试验证根据IP地址对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试验证根据端口对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试5.6 硬件BYPASS硬件BYPASS是IPS的一种增强功能，保证设备出现异常不工作时，网络依然能够畅通。【测

13、试方法】1 将IPS接入实际网络；2 检测IPS在不加电、系统启动到就绪过程中、系统出现异常不工作时，BYPASS功能是否有效。【测试结果】项目测试结果备注硬件BYPASS验证设备不加电时是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统启动到就绪过程中是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统出现异常不工作时是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统异常切换到ByPass状态后直接掉电是否能够保持ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证网

14、络引擎设置强制硬件ByPass后能否正常处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证系统处于资源占用较高情况下watchdog能否保持正常工作o 通过 o 部分通过 o 未通过 o 未测试验证设备运行稳定性o 通过 o 部分通过 o 未通过 o 未测试5.7 系统软件、攻击特征库升级能力随着攻击手段的不断更新，IPS系统也必须保持快速的升级和更新能力。包括软件版本的升级和特征库的更新，尤其是特征库的及时更新非常重要。升级需要包括事件特征库的升级以保持事件特征库的最新，还需要包括软件自身的升级（控制端及引擎端）【测试方法】1. 测试IPS系统的升级方式有几种。2. 测试

15、能否在控制台上对IPS 探测器进行升级包的远程升级。3演示事件特征库的升级方式；4演示控制端的升级方式；5演示引擎端的升级方式；6演示多级管理时事件库及引擎的升级方式；【测试结果】项目测试结果备注控制软件升级支持在线升级o 通过 o 部分通过 o 未通过 o 未测试支持离线升级o 通过 o 部分通过 o 未通过 o 未测试规则库升级支持在线升级o 通过 o 部分通过 o 未通过 o 未测试支持离线升级（规则库升级包为EXE方式）o 通过 o 部分通过 o 未通过 o 未测试规则库更新的频率（以公司网站为准，公司网站显示规则升级内容描述）o 通过 o 部分通过 o 未通过 o 未测试5.8 日志

16、分析系统日志分析系统是事后进行安全事件分析的重要工具，需要能够根据用户的需要产生各种形式的报告，如表格形式、柱状图、饼图等，并且可以根据用户需要设置各种过滤条件，如IP地址、事件名称等，可以自动的产生日报、周报、月报，并且可以导出成多种格式的文件。【测试方法】1 演示日志分析系统（报表）的生成方式；2 演示可支持的查询条件；3 演示可支持的导出格式；【测试结果】项目测试结果备注日志分析支持日志统计分析o 通过 o 部分通过 o 未通过 o 未测试支持查询分析o 通过 o 部分通过 o 未通过 o 未测试报表文档生成事件的月报表o 通过 o 部分通过 o 未通过 o 未测试生成流量的周报表o 通

17、过 o 部分通过 o 未通过 o 未测试将生成的报表保存为doco 通过 o 部分通过 o 未通过 o 未测试将生成的报表保存为htmlo 通过 o 部分通过 o 未通过 o 未测试任务定时给管理员发送报表o 通过 o 部分通过 o 未通过 o 未测试日志管理定时日志备份o 通过 o 部分通过 o 未通过 o 未测试日志恢复o 通过 o 部分通过 o 未通过 o 未测试日志清除o 通过 o 部分通过 o 未通过 o 未测试日志归并o 通过 o 部分通过 o 未通过 o 未测试5.9 事件过滤IPS基于时间、IP地址、编号、类型等条件组合对事件进行过滤。【测试方法】1 将IPS接入实际网络；2

18、根据时间、IP地址、编号、类型等条件组合，察看事件过滤结果。【测试结果】项目测试结果备注事件过滤是否设置事件来源（地址、编号、类型）o 通过 o 部分通过 o 未通过 o 未测试是否设置事件发生的时间o 通过 o 部分通过 o 未通过 o 未测试是否设置事件结果及引擎所采取的动作o 通过 o 部分通过 o 未通过 o 未测试5.10 流量分析流量分析是入侵保护系统的重要组成部分，可以帮助用户准确地掌握当前整个网络各种协议的流量分布，以及占用最大带宽的具体协议的用户，好的协议流量分布技术需要具有直观的显示效果，而且应该具有保存当前带宽分布图功能。【测试方法】1 将IPS接入实际网络；2 演示协议

19、流量分布效果图；3查看协议分布效果图的刷新；4察看占用当前带宽最大的某个协议的用户列表；【测试结果】项目测试结果备注流量分析协议流量分布图（要求直观）o 通过 o 部分通过 o 未通过 o 未测试协议流量分布图的刷新时间可调o 通过 o 部分通过 o 未通过 o 未测试可以察看占用最大带宽的协议的前10位的用户IP列表o 通过 o 部分通过 o 未通过 o 未测试可以察看自定义协议流量占用最大带宽的前10位的用户IP列表o 通过 o 部分通过 o 未通过 o 未测试可以察看常见协议流量占用最大带宽的前10位的用户IP列表（如http、smtp、pop3、BT等）o 通过 o 部分通过 o 未通

20、过 o 未测试5.11 自身安全性能作为安全产品其自身的安全性是一个很重要的因素，如果自身存在系统缺陷或设计缺陷话很容易被攻击者利用从而使得安全系统失去自身的作用，掩盖了其真实的攻击行为。【测试方法】1 查看其组件是否具备用户审计模块；2 查看对于用户的管理是否进行了分组设置，对于每个组是否都有不同权限；【测试结果】项目测试结果备注自身安全性能是否具备用户审计模块o 通过 o 部分通过 o 未通过 o 未测试是否支持用户权限分组o 通过 o 部分通过 o 未通过 o 未测试对于不同的用户是否可以赋予不同的权限o 通过 o 部分通过 o 未通过 o 未测试对于每个用户的是否具备登录失败处理o 通

21、过 o 部分通过 o 未通过 o 未测试5.12 响应方式IPS通过丢弃数据包、丢弃连截会话来主动防御，阻断攻击流量，同时采取告警等响应方式。好的防护功能可以有效、迅速的阻断攻击，同时及时提醒网络管理员。【测试目标】 测试IPS系统对于常见的响应方式。【测试方法】将IPS系统的策略置为最大值，应用最新的升级包。开启IPS阻断功能时对被攻击目标主机进行攻击，检测入侵保护系统的响应情况。【测试结果】项目测试结果备注响应方式阻断o 通过 o 部分通过 o 未通过 o 未测试日志告警o 通过 o 部分通过 o 未通过 o 未测试邮件告警o 通过 o 部分通过 o 未通过 o 未测试运行用户自定义命令o 通过 o 部分通过 o 未通过 o 未测试打印机输出o 通过 o 部分通过 o 未通过 o 未测试SNMP Trapo 通过 o 部分通过 o 未通过 o 未测试防火墙联动o 通过 o 部分通过 o 未通过 o 未测试TCP Killero 通过 o 部分通过 o 未通过 o 未测试